15 października 2021 r. Ministerstwo Klimatu i Środowiska przedstawiło rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów. Rekomendacje, opracowane na podstawie art. 42 ust. 1 pkt 5 Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2020 r., poz. 1369), powstały w drodze konsultacji z CSIRT NASK, CSIRT GOV, CSIRT MON oraz z operatorami usług kluczowych sektora energii.

Czego dotyczą rekomendacje?

Rekomendacje wydane przez Ministerstwo Klimatu i Środowiska są zbiorem dobrych praktyk, które powinny zostać wdrożone przez przedsiębiorstwa z branży energetycznej, zwłaszcza przez podmioty mające status operatorów usług kluczowych, aby możliwe było stworzenie kompleksowych reguł dotyczących wielu obszarów organizacji w celu ochrony ich zasobów informatycznych.

Rekomendacje dotyczą m.in. następujących obszarów:

  • tworzenie procedur zarządzania ryzykiem;
  • korzystanie z usług dostawców;
  • podnoszenie świadomości personelu;
  • przeprowadzanie audytów bezpieczeństwa;
  • zapewnienie ciągłości działania, w szczególności ciągłości działania usług kluczowych;
  • bezpieczeństwo fizyczne;
  • bezpieczeństwo sieci i systemów informatycznych;
  • zasady zgłaszania i obsługi incydentów.

Każda ze sfer opisanych w dokumencie Ministerstwa zawiera rekomendacje uwzględniające specyfikę sektora energii.

Warto mieć na uwadze, że rekomendacje Ministerstwa często nie dają jednoznacznych i jednolitych odpowiedzi na to, jaki sposób zapewnienia odpowiedniego poziomu cyberbezpieczeństwa przez sektor energii jest właściwy. Wiele z tych wytycznych określa przede wszystkim cel, jaki powinien zostać osiągnięty dzięki ich implementacji, lub stanowi założenia, którymi powinny się kierować podmioty z branży energii przy ustalaniu indywidualnych standardów cyberbezpieczeństwa. Podmioty z sektora energii przy określaniu adekwatnych zasad cyberbezpieczeństwa powinny brać pod uwagę indywidualne uwarunkowania, m.in. wykorzystywane systemy, kategorie przetwarzanych informacji, aktualnie występujące zagrożenia czy znaczenie prowadzonej działalności dla bezpieczeństwa narodowego.

W celu wsparcia procesu szacowania ryzyka wystąpienia incydentu cyberbezpieczeństwa w systemach informacyjnych wykorzystywanych do świadczenia usługi kluczowej Ministerstwo jako część rekomendacji opracowało wzór formularza pozwalającego na określenie poziomu dojrzałości organizacji operatora usługi kluczowej w zakresie cyberbezpieczeństwa. Dzięki przeprowadzeniu takiej oceny operator usługi kluczowej może określić minimalną listę wymagań cyberbezpieczeństwa, które powinien spełniać, na poziomie podstawowym, średnim i rozszerzonym.

Znaczenie rekomendacji dla dostawców IT

Najważniejsze z perspektywy dostawców IT świadczących usługi dla podmiotów z sektora energii są wytyczne dotyczące korzystania przez podmioty z sektora energii z usług osób trzecich, w szczególności rekomendacje skupiające się na zagadnieniach, które powinny zostać uwzględnione w umowach z dostawcami IT i przy pomocy których powinny być mitygowane ryzyka cyberbezpieczeństwa. Dodatkowo Ministerstwo zwraca uwagę na konieczność tworzenia przez podmioty z branży energii wewnętrznych regulacji, które pozwolą na lepszy nadzór nad realizacją zadań przez dostawców IT.

Mając na względzie treść rekomendacji, dostawcy IT powinni być przygotowani na to, że podmioty z sektora energii mogą wymagać od nich kontraktowego ukształtowania zasad współpracy w taki sposób, aby spełniać wymogi znajdujące się w rekomendacjach. Może to być m.in. umowne zobowiązanie się dostawcy IT do realizacji konkretnych obowiązków (np. bieżącej aktualizacji oprogramowania, implementacji „łatek bezpieczeństwa” w dostarczanych systemach, rozporządzania prawami autorskimi w określonych zakresie, czy to poprzez udzielenie licencji, czy poprzez przenoszenie autorskich praw majątkowych do rozwiązań) oraz zabezpieczenie realizacji tych obowiązków poprzez ustanowienie systemu kar umownych.

Z perspektywy dostawcy IT ważna jest także jego świadomość na temat tego, że rekomendacje skierowane do sektora energii powinny być pośrednio stosowane również przez dostawców IT, jeśli świadczą oni usługi na rzecz podmiotów z sektora energii. Wytyczne z każdego obszaru przedstawionego w dokumencie Ministerstwa, m.in. z zakresu zgłaszania incydentów bezpieczeństwa, procedur zarządzania ryzykiem, bezpieczeństwa sieci czy nawet bezpieczeństwa fizycznego obiektów, będą musiały być przestrzegane przez dostawcę IT, jeśli będzie to konieczne do spełnienia wymagań stawianych przez podmiot z sektora energii. Dostawca IT, aby mógł świadczyć usługi podmiotom z sektora energii, będzie musiał dostosować się do stosowanych przez swojego klienta procedur i mechanizmów cyberbezpieczeństwa, aby zapewnić jego odpowiedni poziom.

Rekomendacje Ministerstwa a usługi chmurowe

Ministerstwo w przedstawionych rekomendacjach zwraca uwagę na kwestię korzystania z rozwiązań chmurowych dostarczanych przez podmioty zewnętrzne jako szczególną formę usług, w stosunku do której powinny być spełnione dodatkowe wymagania. Możliwość realizacji tych wymagań powinna być nie tylko zapewniona na poziomie organizacyjnym, lecz także – zgodnie z rekomendacjami – zabezpieczona poprzez odpowiednie zapisy kontraktowe, które będą uwzględniały aspekty bezpieczeństwa i dostępności usług chmurowych.

Zgodnie z treścią rekomendacji przy wyborze usług chmurowych podmioty z branży energii powinny podejmować szczególne środki bezpieczeństwa. Z tego względu zalecane jest stosowanie dodatkowych sposobów zabezpieczania danych przetwarzanych w chmurze, w szczególności ich szyfrowanie czy korzystanie z uwierzytelniania wieloetapowego, a także opracowanie planów ciągłości działania uwzględniających potencjalną możliwość utraty kontroli nad przetwarzanymi informacjami u danego dostawcy.

Dodatkowo Ministerstwo rekomenduje, aby zarówno przed rozpoczęciem korzystania z usług chmurowych przez podmioty z sektora energii, jak i w trakcie wykorzystywania tych usług przeprowadzane było szacowanie ryzyka korzystania z takich rozwiązań. Dlatego też dostawca usług chmurowych powinien być organizacyjnie przygotowany na przeprowadzanie takich procedur przez klientów oraz aktywnie ich wspierać przy dokonywaniu analizy ryzyka.